CentOS linux 安装openssl(openssl拒绝服务漏洞【CVE-2022-0778】解决)

一、安装

1.下载相关openssl包

下载地址： https://www.openssl.org/source/

2.将下载好的压缩包放到 /app/server/nginx 路径下（根据自己实际需求定义）

3.切换至该路径

cd /app/server/nginx

4.压缩包解压

压缩包解压 ：tar -zxvf openssl-3.0.0.tar.gz

5.切换到解压后的路劲

cd openssl-3.0.0

6.查看一下原安装版本

openssl version -a

7.设置配置

./config --prefix=/usr/local/openssl3.0.0 --openssldir=/usr/local/openssl3.0.0 shared zlib

①可能出现错误

1)安装gcc（编译依赖 gcc 环境）

yum install gcc-c++

2)安装 PCRE pcre-devel （包括 perl 兼容的正则表达式库）

yum install -y pcre pcre-devel

3)安装zlib（对 http 包的内容进行 gzip）

yum install -y zlib zlib-devel

②还可能出现的错误

Cant't locate IPC/Cmd.pm .......

需安装perl-IPC-Cmd包

执行命令

yum -y install perl-IPC-Cmd

---

8.编译安装(编译安装完不报错将会安装到 /usr/local/openssl3.0.0)

make
make install

二、配置链接库

1.在目录/etc/ld.so.conf.d目录下创建一个名为openssl-3.0.0.conf的文件

cd /etc/ld.so.conf.d
vim openssl-3.0.0.conf

2.输入（i：启用编辑，esc：退出编辑，:wq：保存退出，:q!：不保存退出）

/usr/local/openssl3.0.0/lib64

3.创建软链接

ln -s /usr/local/openssl3.0.0/lib64/libssl.so.3 /usr/lib64/
ln -s /usr/local/openssl3.0.0/lib64/libcrypto.so.3 /usr/lib64/

若报已存在(File exist)，则进行覆盖

ln -sf /usr/local/openssl3.0.0/lib64/libssl.so.3 /usr/lib64/ln -sf /usr/local/openssl3.0.0/lib64/libcrypto.so.3 /usr/lib64/

4.重新加载动态链接

ldconfig -v

三、配置环境变量

1.备份旧的配置(/usr/bin/openssl为上个版本安装路径，此处为系统默认路径)

mv /usr/bin/openssl /usr/bin/openssl.backup

2.创建环境变量文件

vim /etc/profile.d/openssl.sh

3.写入

#Set OPENSSL_PATH
OPENSSL_PATH="/usr/local/openssl3.0.0/bin"
export OPENSSL_PATH
PATH=$PATH:$OPENSSL_PATH
export PATH

4.执行openssl.sh 文件，并输出环境变量

chmod +x /etc/profile.d/openssl.sh
source /etc/profile.d/openssl.sh
echo $PATH

5.检查OpenSSL位置

which openssl

6.检查系统配置

openssl version -a

---

2022-03-15

openssl出现拒绝服务漏洞【CVE-2022-0778】

由于证书解析时使用的 BN_mod_sqrt() 函数存在一个错误，它会导致在非质数的情况下永远循环。可通过生成包含无效的显式曲线参数的证书来触发无限循环。由于证书解析是在验证证书签名之前进行的，因此任何解析外部提供的证书的程序都可能受到拒绝服务攻击。此外，当解析特制的私钥时(包含显式椭圆曲线参数)，也可以触发无限循环。

影响范围：

OpenSSL版本1.0.2：1.0.2-1.0.2zc

OpenSSL版本1.1.1：1.1.1-1.1.1m

OpenSSL版本 3.0：3.0.0、3.0.1

官方修复提交记录：

https://github.com/openssl/openssl/commit/9eafb53614bf65797db25f467946e735e1b43dc9#

解决办法：

openssl3.0.0升级到->openssl3.0.2

与上述安装步骤一致（将其中的其中openssl3.0.0修改为openssl3.0.2）

其中注意事项：

• 创建软链接时，需进行覆盖

• ln -sf /usr/local/openssl3.0.2/lib64/libssl.so.3 /usr/lib64/
  ln -sf /usr/local/openssl3.0.2/lib64/libcrypto.so.3 /usr/lib64/
  

• 备份时，需将路径修改为上次安装openssl的路径

• mv /usr/local/openssl3.0.0 /usr/bin/openssl.backup
  

• 升级完毕后，如果使用的nginx做服务分发代理，nginx需重新编译安装，其中openssl依赖路径修改为最新路径（nginx安装可看：CentOS linux安装nginx）

---

结束